Supervisión de sesiones de flujo de seguridad
En este tema se trata información para supervisar, mostrar y verificar sesiones de flujo mediante comandos del modo operativo. Por lo tanto, puede depurar sin tener que confirmar o modificar su configuración en ejecución.
Descripción general de la supervisión del flujo de seguridad
Junos OS permite configurar e iniciar la supervisión de las sesiones de flujo mediante comandos del modo operativo. Por lo tanto, puede depurar sin tener que confirmar o modificar su configuración en ejecución. Este enfoque puede ser especialmente útil cuando no desea cambiar el estado del dispositivo confirmando la configuración para activar las opciones de rastreo.
Para configurar la supervisión de la sesión de flujo, debe definir filtros de flujo, especificar el archivo de salida e iniciar la supervisión. La supervisión de la sesión de flujo no se inicia a menos que se especifique un filtro (al menos uno) y un archivo de salida. Además, la definición de los filtros en sí no desencadena el monitoreo. Debe usar explícitamente los comandos y monitor security flow stop
para habilitar y deshabilitar la monitor security flow start
supervisión, respectivamente.
Definir filtros de flujo: defina las sesiones de flujo que desea supervisar mediante combinaciones de criterios de coincidencia, como la dirección de origen, la dirección de destino, el puerto de origen, el puerto de destino, el número de protocolo IP, el nombre de la interfaz entrante o saliente y el nombre del sistema lógico. Puede eliminar filtros mediante el
clear monitor security flow filter
comando.Nota:A diferencia de los filtros definidos en el modo de configuración, los filtros definidos mediante comandos del modo operativo se borran al reiniciar el sistema.
Especificar el archivo de salida: cree un archivo de salida en el que se guardará la información de supervisión del flujo de seguridad. Este archivo se guarda en el
/var/log/
directorio. Puede ver el contenido de este archivo mediante elshow log filename
comando. Utilice el comando para especificar las características delmonitor security flow file
archivo de salida, como su tamaño máximo, número máximo y tipo.Iniciar supervisión: utilice el comando para iniciar la
monitor security flow start
supervisión. Una vez que comienza la supervisión, cualquier tráfico que coincida con los filtros se guarda en el archivo de salida especificado en el/var/log/
directorio. El indicador basic-datapath es el indicador predeterminado y se activa cuando se inicia la supervisión.Use el comando para detener la
monitor security flow stop
supervisión. Una vez que se detiene la supervisión, se borra el indicador basic-datapath.Mostrar información del flujo de supervisión: utilice el
show monitoring security flow
comando para mostrar detalles sobre la operación de supervisión.
Puede configurar la supervisión y depuración de sesiones de flujo mediante los comandos de modo operativo de supervisión y las instrucciones de configuración de flowtraceoptions. Estas dos operaciones no pueden ejecutarse en paralelo. Cuando se activa la supervisión del flujo de seguridad, se bloquea la sesión de la opción de seguimiento de flujo y, cuando se ejecuta la sesión de traceoption de flujo, se bloquea la supervisión de la sesión de flujo.
Descripción de cómo obtener información de sesión para firewalls serie SRX
Puede obtener información sobre las sesiones y los flujos de paquetes activos en su dispositivo, incluida información detallada sobre sesiones específicas. (El firewall de la serie SRX también muestra información sobre las sesiones fallidas). Puede mostrar esta información para observar la actividad y con fines de depuración. Por ejemplo, puede usar el comando show security flow session:
Para mostrar una lista de flujos IP entrantes y salientes, incluidos los servicios
Para mostrar los atributos de seguridad asociados a un flujo, por ejemplo, las directivas que se aplican al tráfico que pertenece a ese flujo
Para mostrar el valor del tiempo de espera de la sesión, cuándo se activó la sesión, durante cuánto tiempo ha estado activa y si hay tráfico activo en la sesión
Si se configura una NAT de interfaz y las sesiones se configuran con la NAT utilizando esa dirección IP de interfaz, cada vez que cambie la dirección IP de la interfaz, las sesiones configuradas con NAT se actualizarán y las nuevas sesiones se configurarán con una nueva dirección IP. Esto se puede verificar mediante show security flow session
el comando de la CLI.
La información de sesión también se puede registrar si una configuración de directiva relacionada incluye la opción de registro. Para el registro de sesión de flujo en todos los firewalls de la serie SRX, se ha mejorado la configuración de directivas. Se proporciona información sobre el parámetro de interfaz de entrada de paquetes en el registro de sesión para inicio de sesión y cierre de sesión, y cuando una política o el firewall de aplicaciones deniegan una sesión, para cumplir los Criterios comunes (CC) de perfiles de protección de robustez media (MRPP):
Configuración de directiva: para configurar la política para la sesión cuya sesión desea registrar coincidencias como registro session-init o session-close para registrar sesiones en syslog:
set security policies from-zone untrustZone to-zone trust zone policy policy13 match source-address extHost1
set security policies from-zone untrustZone to-zone trustZone policy policy13 match application junos-ping
set security policies from-zone untrustZone to-zone trustZone policy policy13 then permit
set security policies from-zone untrustZone to-zone trustZone policy policy13 then log session-init
set security policies from-zone untrustZone to-zone trustZone policy policy13 then log session-close
Example : la política de coincidencia de flujo13 registrará la siguiente información en el registro:
<14>1 2010-09-30T14:55:04.323+08:00 mrpp-srx550-dut01 RT_FLOW - RT_FLOW_SESSION_CREATE [junos@2626.192.0.2.1.40 source-address="192.0.2.1" source-port="1" destination-address="198.51.100.12" destination-port="46384" service-name="icmp" nat-source-address="192.0.2.1" nat-source-port="1" nat-destination-address="198.51.100.12" nat-destination-port="46384" src-nat-rule-name="Ninguno" dst-nat-rule-name="Ninguno" protocol-id="1" policy-name="policy1" source-zone-name="trustZone" destination-zone-name="untrustZone" session-id-32="41" packet-incoming-interface="ge-0/0/1.0"] sesión creada 192.0.2.1/1-->198.51.100.12/46384 ICMP 192.0.2.1/1-->198.51.100.12/46384 Ninguna Ninguna 1 política1 trustZone untrustZone 41 ge-0/0/1.0
<14>1 2010-09-30T14:55:07.188+08:00 mrpp-srx550-dut01 RT_FLOW - RT_FLOW_SESSION_CLOSE [junos@2626.192.0.2.1.40 reason="respuesta recibida" source-address="192.0.2.1" source-port="1" destination-address="198.51.100.12" destination-port="46384" service-name="icmp" nat-source-address="192.0.2.1" nat-source-port="1" nat-destination-address="198.51.100.12" nat-destination-port="46384" src-nat-rule-name="None" dst-nat-rule-name="None" protocol-id="1" policy-name="policy1" source-zone-name="trustZone" destination-zone-name="untrustZone" session-id-32="41" packets-from-client="1" bytes-from-client="84" packets-from-server="1" bytes-from-server="84" elapsed-time="0" packet-incoming-interface="ge-0/0/1.0"] Respuesta al cierre de sesión recibido: 192.0.2.1/1-->198.51.100.12/46384 ICMP 192.0.2.1/1-->198.51.100.12/46384 Ninguna Ninguna 1 política1 trustZone untrustZone 41 1(84) 1(84) 0 ge-0/0/1.0
Visualización de parámetros de sesión globales para todas las puertas de enlace de servicios de la serie SRX
Propósito
Obtenga información sobre los parámetros configurados que se aplican a todos los flujos o sesiones.
Acción
Para ver la información de la sesión en la CLI, escriba el siguiente comando:
user@host# show security flow
Significado
El show security flow
comando de configuración muestra la siguiente información:
allow-dns-reply
: identifica si se permiten paquetes de respuesta del Sistema de nombres de dominio (DNS) entrantes no coincidentes.route-change-timeout
: si está habilitado, muestra el valor del tiempo de espera de la sesión que se utilizará en un cambio de ruta a una ruta inexistente.tcp-mss
: muestra la configuración actual del valor del tamaño máximo de segmento TCP que se utilizará para todos los paquetes TCP para el tráfico de red.tcp-session
: muestra todos los parámetros configurados que controlan los parámetros de sesión.syn-flood-protection-mode
: muestra el modo proxy SYN.
Visualización de un resumen de las sesiones de las puertas de enlace de servicios de la serie SRX
Propósito
Determine los tipos de sesiones en el dispositivo, cuántas de cada tipo hay, por ejemplo, el número de sesiones de unidifusión y sesiones de multidifusión, el número de sesiones fallidas, el número de sesiones que se utilizan actualmente y el número máximo de sesiones que admite el dispositivo. Este comando también muestra los detalles de las sesiones que se utilizan actualmente. Por ejemplo, sesiones válidas, sesiones pendientes, sesiones invalidadas y sesiones en otros estados.
Acción
Para ver la información del resumen de la sesión en la CLI, escriba el siguiente comando de la CLI:
user@host> show security flow session summary
Visualización de información de sesión y flujo acerca de las sesiones para puertas de enlace de servicios de la serie SRX
Propósito
Muestra información sobre todas las sesiones del dispositivo, incluido el ID de sesión, el sistema virtual al que pertenece la sesión, el grupo de origen de traducción de direcciones de red (NAT) (si se usa la NAT de origen), el valor de tiempo de espera configurado para la sesión y su tiempo de espera estándar, y la hora de inicio de la sesión y cuánto tiempo ha estado activa la sesión. La pantalla también muestra toda la información del flujo estándar, incluida la dirección del flujo, la dirección y el puerto de origen, la dirección y el puerto de destino, el protocolo IP y la interfaz utilizada para la sesión.
Acción
Para ver la información del flujo de la sesión en la CLI, escriba el siguiente comando:
user@host> show security flow session
Visualización de información de sesión y flujo sobre una sesión específica para puertas de enlace de servicios de la serie SRX
Propósito
Cuando conoce el identificador de sesión, puede mostrar toda la información de sesión y flujo para una sesión específica en lugar de para todas las sesiones.
Acción
Para ver información sobre una sesión específica en la CLI, escriba el siguiente comando:
user@host> show security flow session session-identifier 40000381
Uso de filtros para mostrar información de sesión y flujo para puertas de enlace de servicios de la serie SRX
Propósito
Puede mostrar información de flujo y sesión sobre una o más sesiones especificando un filtro como argumento para el show security flow session
comando. Puede utilizar los siguientes filtros: application, destination-port, destination-prefix, family, idp, interface, nat, protocol, resource-manager, session-identifier, source-port, source-prefix y tunnel. El dispositivo muestra la información de cada sesión seguida de una línea que especifica el número de sesiones notificadas. Este es un ejemplo del comando que usa el filtro source-prefix.
Acción
Para ver información sobre las sesiones seleccionadas mediante filtros en la CLI, escriba el siguiente comando:
user@host> show security flow session source-prefix 10/8
Información proporcionada en las entradas del registro de sesión de las puertas de enlace de servicios de la serie SRX
Las entradas del registro de sesión están vinculadas a la configuración de directivas. Cada evento de la sesión principal (crear, cerrar y denegar) creará una entrada de registro si la política de control ha habilitado el registro.
Se registran diferentes campos para los eventos de creación de sesión, cierre de sesión y denegación de sesión, como se muestra en la Tabla 1, Tabla 2 y Tabla 3. El mismo nombre de campo debajo de cada tipo indica que se registra la misma información, pero cada tabla es una lista completa de todos los datos registrados para ese tipo de registro de sesión.
En la tabla siguiente se definen los campos que se muestran en las entradas del registro de sesión.
Field |
Description |
---|---|
|
Dirección IP de origen del paquete que creó la sesión. |
|
Puerto de origen del paquete que creó la sesión. |
|
Dirección IP de destino del paquete que creó la sesión. |
|
Puerto de destino del paquete que creó la sesión. |
|
Aplicación que atravesó el paquete (por ejemplo, "junos-telnet" para el tráfico Telnet durante la sesión permitida por una directiva que permite Telnet nativo). |
|
La dirección de origen NAT traducida si se aplicó NAT; de lo contrario, la dirección de origen como se indicó anteriormente. |
|
El puerto de origen NAT traducido si se aplicó NAT; de lo contrario, el puerto de origen como se indicó anteriormente. |
|
La dirección de destino NAT traducida si se aplicó NAT; de lo contrario, la dirección de destino como se indicó anteriormente. |
|
El puerto de destino NAT traducido si se aplicó NAT; de lo contrario, el puerto de destino como se indica arriba. |
|
La regla NAT de origen que se aplicó a la sesión (si la hubiera). Si la NAT estática también está configurada y aplicada a la sesión y si se realiza la traducción de direcciones de origen, este campo muestra el nombre de la regla NAT estática.* |
|
La regla NAT de destino que se aplicó a la sesión (si la hubiera). Si la NAT estática también está configurada y aplicada a la sesión y si se realiza la traducción de la dirección de destino, este campo muestra el nombre de la regla NAT estática.* |
|
Identificador de protocolo del paquete que creó la sesión. |
|
Nombre de la directiva que permitió la creación de la sesión. |
|
El identificador de sesión de 32 bits. |
* Tenga en cuenta que algunas sesiones pueden tener NAT de destino y origen aplicadas y la información registrada. |
A partir de Junos OS versión 12.1X47-D20 y Junos OS versión 17.3R1, el registro del sistema incluye información sobre el tipo de regla NAT. Se introducen dos nuevos archivos src-nat-rule-type y dst-nat-rule-type en la sesión de regla NAT.
Field |
Description |
---|---|
|
La razón por la que se cerró la sesión. |
|
Dirección IP de origen del paquete que creó la sesión. |
|
Puerto de origen del paquete que creó la sesión. |
|
Dirección IP de destino del paquete que creó la sesión. |
|
Puerto de destino del paquete que creó la sesión. |
|
Aplicación que atravesó el paquete (por ejemplo, "junos-telnet" para el tráfico Telnet durante la sesión permitida por una directiva que permite Telnet nativo). |
|
La dirección de origen NAT traducida si se aplicó NAT; de lo contrario, la dirección de origen como se indicó anteriormente. |
|
El puerto de origen NAT traducido si se aplicó NAT; de lo contrario, el puerto de origen como se indicó anteriormente. |
|
La dirección de destino NAT traducida si se aplicó NAT; de lo contrario, la dirección de destino como se indicó anteriormente. |
|
El puerto de destino NAT traducido si se aplicó NAT; de lo contrario, el puerto de destino como se indica arriba. |
|
La regla NAT de origen que se aplicó a la sesión (si la hubiera). Si la NAT estática también está configurada y aplicada a la sesión y si se realiza la traducción de direcciones de origen, este campo muestra el nombre de la regla NAT estática.* |
|
La regla NAT de destino que se aplicó a la sesión (si la hubiera). Si la NAT estática también está configurada y aplicada a la sesión y si se realiza la traducción de la dirección de destino, este campo muestra el nombre de la regla NAT estática.* |
|
Identificador de protocolo del paquete que creó la sesión. |
|
Nombre de la directiva que permitió la creación de la sesión. |
|
El identificador de sesión de 32 bits. |
|
El número de paquetes enviados por el cliente relacionados con esta sesión. |
|
El número de bytes de datos enviados por el cliente relacionados con esta sesión. |
|
El número de paquetes enviados por el servidor relacionados con esta sesión. |
|
El número de bytes de datos enviados por el servidor relacionados con esta sesión. |
|
El tiempo total de la sesión transcurrió desde el permiso hasta el cierre, dado en segundos. |
|
Durante la creación de la sesión, puede establecer el motivo del cierre de la sesión como La sesión se cierra con el motivo |
|
La sesión se cerró mediante un paquete de restablecimiento TCP que le envió el cliente. |
|
La sesión se cerró mediante un paquete de restablecimiento TCP enviado desde el servidor. |
|
FIN recibido de cualquiera de los extremos. |
|
Respuesta recibida para una solicitud de paquete (por ejemplo, ICMP req-reply). |
|
Error ICMP recibido. |
|
Se alcanzó la sesión envejecida. |
|
Los errores de ALG cerraron la sesión (por ejemplo, se alcanzó el límite máximo del servidor de acceso remoto (RAS)). |
|
El mensaje HA cerró la sesión. |
|
No hubo tráfico para la sesión antes de que se alcanzara el tiempo de caducidad configurado. |
|
Error de autenticación. |
|
IDP cerró la sesión debido a un error interno del módulo de seguridad (SM). |
|
El error de proxy SYN cerró la sesión. |
|
Motivo de la falla en la asignación de sesión menor, necesidad de liberar sesión original. |
|
Sesión principal cerrada. |
|
Sesión borrada por una CLI . |
|
Respuesta de CP NACK recibida. |
|
La eliminación de CP ACK cerró la sesión. |
|
Política correspondiente marcada para su eliminación. |
|
Sesión cerrada debido a la eliminación de la sesión de reenvío. |
|
La sesión se cerró porque la ruta de multidifusión cambió. |
|
La primera ruta se reenruta y se vuelve a crear la sesión. |
|
SPU recibió el mensaje ACK desde el punto central, pero no pudo recibir el recurso DIP. Por lo tanto, este paquete se descarta y la sesión se cierra. |
|
La sesión se cerró debido a todas las demás razones (por ejemplo, el pim reg tun necesitaba refrescarse). |
|
Errores de creación de plantillas de paso a través de IKE. |
|
La sesión se elimina porque la sesión de plantilla de paso de IKE no tiene ningún hijo. |
|
Sesión pendiente cerrada porque el temporizador de tiempo de espera alcanzó el estado pendiente. |
|
Sesión cerrada por razones desconocidas. |
* Tenga en cuenta que algunas sesiones pueden tener NAT de destino y origen aplicadas y la información registrada. |
Field |
Description |
---|---|
|
Dirección IP de origen del paquete que intentó crear la sesión. |
|
Puerto de origen del paquete que intentó crear la sesión. |
|
Dirección IP de destino del paquete que intentó crear la sesión. |
|
Puerto de destino del paquete que intentó crear la sesión. |
|
Aplicación que el paquete intentó atravesar. |
|
Identificador de protocolo del paquete que intentó crear la sesión. |
|
El tipo ICMP si el paquete denegado fue configurado ICMP; de lo contrario, este campo será 0. |
|
Nombre de la directiva que denegó la creación de la sesión. |
Extensiones de control de errores
Descripción de las mejoras en la detección de fallas y el manejo de errores de FPC de Chassis Manager
El motor de enrutamiento de Junos OS y la función de detección y administración de errores de microkernel en los dispositivos SRX5400, SRX5600 y SRX5800 permiten que el motor de enrutamiento y el ukernel acumulen y almacenen el historial de toda la actividad de errores notificada y los contadores para varios niveles de gravedad. Puede configurar cómo se manejan los errores y especificar los niveles de gravedad y las acciones que se deben realizar cuando se detecta un error y se alcanza un umbral. Puede generar y mostrar informes de errores encontrados en función de la información almacenada.
A partir de Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1, se proporcionan mejoras de detección de errores que detectan errores adicionales en IOC y SPC y proporcionan una administración de errores mejorada. Esta implementación amplía la detección y administración de errores tratadas en el show chassis fpc error
tema.
Esta característica no se admite en la versión 1 del motor de enrutamiento.
- Control de errores en IOC y SPC
- Detección y administración de errores
- Procesos de detección de errores
- Integración con el clúster de chasis
- Detección, generación de informes y gestión de cuñas
Control de errores en IOC y SPC
A partir de Junos OS versión 15.1-X49-D50 y Junos OS versión 17.3R1, las mejoras de administración de errores se admiten en tarjetas E/S IOC2 e IOC3 (IOC) y tarjetas de procesamiento de servicios SPC2 (SPC). Algunas funciones de mejora son específicas de los FPC IOC2 e IOC3 o SPC2, y las diferencias se señalan en este tema.
Detección y administración de errores
La gestión de errores implica:
Detectar un error.
Junos OS supervisa el estado de los componentes del chasis para detectar un conjunto de condiciones de error. Un error detectado puede pertenecer a uno de los niveles de gravedad de error preconfigurados:
Fatal
Destacado
Menor
Identificar la acción a realizar.
Cuando se produce un error, el sistema identifica la acción que se debe realizar en función del nivel de gravedad del error y de los umbrales establecidos y cumplidos.
Una FPC mantiene un conjunto de contadores de errores para cada nivel de gravedad de error. Un conjunto de contadores de errores consta de un contador acumulativo de todos los errores y contadores de errores y tipos individuales. Es esta información la que se almacena en el motor de enrutamiento. Cada contador de ocurrencias está asociado con un umbral de ocurrencia de error. Hay dos niveles de umbral: uno basado en el tipo y el otro en la gravedad.
Ejecución de la acción.
Para estas mejoras, las acciones preconfiguradas que puede indicar al dispositivo que realice cuando el recuento de ocurrencias de errores del motor de enrutamiento para un nivel de seguridad determinado alcance el umbral configurado son:
Restablecimiento
Sin conexión
Alarma
Get-state
Registro
Tenga cuidado al configurar las acciones de manejo de fallas para tarjetas SPC2 en la línea SRX5000 de dispositivos. Tenga en cuenta que si establece la acción de control de errores en una tarjeta SPC2 como desconectada o restablecer, cuando la tarjeta se desconecta o se produce el reinicio, el demonio del chasis (chasisd) reiniciará todas sus tarjetas FPC, tanto SPC como IOC, es decir, se reiniciará todo el chasis.
Procesos de detección de errores
Con estas mejoras, se habilitan y admiten los siguientes procesos de detección de errores:
Administración de errores en la versión 2 del motor de enrutamiento.
Administración de errores en módulos ukernel en tarjetas SPC2.
Administración de errores en las tarjetas IOC2 e IOC3.
El controlador comprueba la detección de errores de ruta de datos de las condiciones de cuña.
Nota:La detección del estado de cuña para el controlador del motor de descarga Trinity solo se admite en tarjetas SPC2. Es decir, no es compatible con las tarjetas IOC2 e IOC3.
Detección de cuña para bucle invertido del host.
Nota:La detección de condición de cuña para bucle cerrado de host solo se admite en tarjetas SPC2. Es decir, no es compatible con las tarjetas IOC2 e IOC3.
Detección de errores de estructura de Chassis Manager.
Detecciones de errores de ruta de control en tarjetas IOC2 e IOC3.
Integración con el clúster de chasis
En un entorno de clúster de chasis, cuando se activa una alarma por primera vez debido a un error grave o grave, se activa un cambio de grupo de redundancia 1 (RG1). Este es el comportamiento estándar en los firewalls de la serie SRX y permanece sin cambios. Sin embargo, con estas mejoras, la alarma se agrega a la lista predeterminada de acciones de manejo de errores para un error fatal. Agregar una alarma a la lista predeterminada de manejo de fallas permite que la alarma del chasis active el cambio RG1 tan pronto como se detecte el error fatal.
Detección, generación de informes y gestión de cuñas
Una condición de cuña se debe a un error que bloquea el tráfico de red.
Esta función detecta varios tipos de condiciones de cuña. Eso:
Determina si la cuña es transitoria o irreversible.
Registra las condiciones de cuña en estadísticas y syslogs.
Alerta a los administradores de red sobre cuñas irreversibles mediante la activación de una alarma de chasis en el motor de enrutamiento.
Comprueba que las siguientes detecciones de errores de ruta de datos estén habilitadas para las tarjetas IOC2, IOC3 y SPC2:
Detección de cuña para el controlador XM
Detección de cuña para el controlador LU
Detección de cuña para el controlador XL
Detección de cuña para el controlador TOE (solo SPC2)
Detección de cuña para bucle invertido de host (solo SPC2)
Todas las condiciones de cuña de ruta de datos se detectan y notifican en 5 segundos. Cada módulo de detección de errores registra e informa el estado y el historial de sus condiciones de cuña identificables.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.